用于解析 auditd 日志的模块。
-
user.terminal -
用户执行观察到的活动所在的终端或 tty 设备。
类型:keyword
-
user.audit.id -
用户的一个或多个唯一标识符。
类型:keyword
-
user.audit.name -
用户的简称或登录名。
类型:keyword
示例:albert
-
user.audit.group.id -
系统/平台上组的唯一标识符。
类型:keyword
-
user.audit.group.name -
组的名称。
类型:keyword
-
user.filesystem.id -
用户的一个或多个唯一标识符。
类型:keyword
-
user.filesystem.name -
用户的简称或登录名。
类型:keyword
示例:albert
-
user.filesystem.group.id -
系统/平台上组的唯一标识符。
类型:keyword
-
user.filesystem.group.name -
组的名称。
类型:keyword
-
user.owner.id -
用户的一个或多个唯一标识符。
类型:keyword
-
user.owner.name -
用户的简称或登录名。
类型:keyword
示例:albert
-
user.owner.group.id -
系统/平台上组的唯一标识符。
类型:keyword
-
user.owner.group.name -
组的名称。
类型:keyword
-
user.saved.id -
用户的一个或多个唯一标识符。
类型:keyword
-
user.saved.name -
用户的简称或登录名。
类型:keyword
示例:albert
-
user.saved.group.id -
系统/平台上组的唯一标识符。
类型:keyword
-
user.saved.group.name -
组的名称。
类型:keyword
来自 auditd 日志的字段。
来自 Linux 审计日志的字段。此处未记录所有字段,因为它们是动态的,并且根据审计事件类型而有所不同。
-
auditd.log.old_auid -
对于登录事件,这是用户在此登录之前使用的旧审计 ID。
-
auditd.log.new_auid -
对于登录事件,这是新的审计 ID。即使用户身份发生更改(例如,成为 root),也可以使用审计 ID 将未来的事件跟踪到用户。
-
auditd.log.old_ses -
对于登录事件,这是用户在此登录之前使用的旧会话 ID。
-
auditd.log.new_ses -
对于登录事件,这是新的会话 ID。它可用于通过会话 ID 将用户与将来的事件关联起来。
-
auditd.log.sequence -
审计事件序列号。
类型:long
-
auditd.log.items -
事件中的项目数。
-
auditd.log.item -
item 字段指示总项目数中的哪个项目。此数字为基于零的;值为 0 表示它是第一个项目。
-
auditd.log.tty -
类型:keyword
-
auditd.log.a0 -
系统调用的第一个参数。
-
auditd.log.addr -
类型:ip
-
auditd.log.rport -
类型:long
-
auditd.log.laddr -
类型:ip
-
auditd.log.lport -
类型:long
-
auditd.log.acct -
类型:alias
别名:user.name
-
auditd.log.pid -
类型:alias
别名:process.pid
-
auditd.log.ppid -
类型:alias
别名:process.parent.pid
-
auditd.log.res -
类型:alias
别名:event.outcome
-
auditd.log.record_type -
类型:alias
别名:event.action
-
auditd.log.geoip.continent_name -
类型:alias
别名:source.geo.continent_name
-
auditd.log.geoip.country_iso_code -
类型:alias
别名:source.geo.country_iso_code
-
auditd.log.geoip.location -
类型:alias
别名:source.geo.location
-
auditd.log.geoip.region_name -
类型:alias
别名:source.geo.region_name
-
auditd.log.geoip.city_name -
类型:alias
别名:source.geo.city_name
-
auditd.log.geoip.region_iso_code -
类型:alias
别名:source.geo.region_iso_code
-
auditd.log.arch -
类型:alias
别名:host.architecture
-
auditd.log.gid -
类型:alias
别名:user.group.id
-
auditd.log.uid -
类型:alias
别名:user.id
-
auditd.log.agid -
类型:alias
别名:user.audit.group.id
-
auditd.log.auid -
类型:alias
别名:user.audit.id
-
auditd.log.fsgid -
类型:alias
别名:user.filesystem.group.id
-
auditd.log.fsuid -
类型:alias
别名:user.filesystem.id
-
auditd.log.egid -
类型:alias
别名:user.effective.group.id
-
auditd.log.euid -
类型:alias
别名:user.effective.id
-
auditd.log.sgid -
类型:alias
别名:user.saved.group.id
-
auditd.log.suid -
类型:alias
别名:user.saved.id
-
auditd.log.ogid -
类型:alias
别名:user.owner.group.id
-
auditd.log.ouid -
类型:alias
别名:user.owner.id
-
auditd.log.comm -
类型:alias
别名:process.name
-
auditd.log.exe -
类型:alias
别名:process.executable
-
auditd.log.terminal -
类型:alias
别名:user.terminal
-
auditd.log.msg -
类型:alias
别名:message
-
auditd.log.src -
类型:alias
别名:source.address
-
auditd.log.dst -
类型:alias
别名:destination.address